США и Великобритания ввели санкции против российских хакеров. Деанонимизировать их помог украинец
IT-индустрия15 февраля 2023, 08:03
Кибератаки стали полноценным оружием россиян во время войны с Украиной. Только за первые полгода полномасштабного вторжения CERT-UA зарегистрировала более 1000 хакерских атак против украинских ресурсов.
После этого темпы немного упали — в Госспецсвязи это связывают с тем, что за 2022 год и государство, и бизнес существенно усилили направление киберзащиты.
Однако российские хакеры работают не только против Украины, но и пытаются проводить свои спецоперации по всему миру, направленные на совершенно разные цели.
Так, 12 февраля российские хакеры атаковали ресурс штаб-квартиры Специальных операций НАТО. Незадолго до этого они устраивали DDoS-атаки на немецкие сайты аэропортов, банков и органов власти, объясняя это будущей передачей Украине немецких танков Leopard. В ходе президентских выборов в Чехии российские хакеры организовывали атаки против чешских сайтов, а летом они провели кампанию против трех ядерных лабораторий в США.
РФ стала идеальным убежищем для киберпреступников, пока они идут на сотрудничество и не действуют против российских компаний.
Еще недавно российские хакеры считались одними из самых опасных киберпреступников в мире. Более того, онлайн-преступников вербует даже ЧВК Вагнер — недавно незаконное вооруженное формирование организовало хакатон с призовым фондом 1,5 млн рублей.
Однако война в Украине развеяла миф о невероятной силе российских хакеров. Несмотря на активную деятельность, большинство их атак можно назвать относительно простыми и неэффективными.
Подпишитесь на NV Премиум и читайте без ограничений
Нам необходима ваша поддержка, чтобы заниматься качественной журналистикой
Единственной действительно успешной крупной кибероперацией можно назвать ту, которую россияне провели 24 февраля, когда им удалось взломать американского провайдера спутниковой связи Viasat. Позже заместитель главы Госспецсвязи Виктор Жора признал, что это был серьезный удар, поскольку услугами компании пользовались в том числе и украинские военные, поэтому этот взлом действительно помешал организовать сопротивление на начальной стадии полномасштабного вторжения.
Так, в 2021 году СБУ, Офис генерального прокурора и Главное управление разведки Минобороны идентифицировали участников известной хакерской группировки Armagedon, работавшей как минимум с 2013 года. Хакерами оказались участвовавшие в оккупации Крыма кадровые сотрудники российского и бывшие украинские правоохранители, перешедшие на службу к страну-агрессорке.
Согласно данным украинских спецслужб, участники Armagedon осуществили более 5 тысяч кибератак против Украины, начиная с 2014 года. Их целями были госорганы, объекты критической инфраструктуры и бизнес. В СБУ продемонстрировали перехваченные разговоры, где сотрудники ФСБ хвалятся воровством данных, жалуются на маленькие зарплаты и на то, что их руководство не награждает за службу.
Недавно NV писал, как одна из самых известных российских хакерских группировок Conti пыталась поддерживать Кремль во время войны. Однако если Armagedon не было т.н. state-sponsored группировкой российских хакеров (т.е. группировкой, которая напрямую финансировалась и получает другую материальную поддержку от государства), Conti — это отдельная хакерская группировка, которая начала сотрудничать с российскими спецслужбами.
Аналитики называли Conti главным киберсиндикатом РФ. Фактически это единственная крупная хакерская группировка, которая оставалась в России по состоянию на февраль 2022 года. Другие группировки либо потеряли финансирование, либо банально не смогли взломать достаточно сетей, чтобы заработать деньги и выжить.
Успешная выживаемость Conti долгое время связывалась с их дружбой с ФСБ и Кремлем. По мнению аналитиков, силовики не мешали хакерам работать, несмотря на многочисленные призывы Запада арестовать злоумышленников, а те передавали своим кураторам разные секретные разведданные, которые злоумышленники похищали у своих жертв.
Теперь Великобритания и США открыты заявлениям или о связи между хакерской группировкой и российскими спецслужбами. А 9 февраля правительства этих двух стран ввели санкции против семи хакеров. Но этим они не ограничились — чиновники еще и задеанонили их, опубликовав имена, даты рождения, адреса электронной почты и фото преступников. Это Михаил Искрицкий, Валентин Карягин, Виталий Ковалев, Максим Михайлов, Дмитрий Плешевский, Валерий Седлецкий и Иван Вахромеев.
Глава Госспецсвязи Юрий Щиголь в комментариях для NV объясняет, что сам факт деанонимизации хакеров действительно может повлиять на дальнейшую эффективность группировки. Однако в большинстве случаев это зависит не от самого факта деанона злоумышленника, а от санкций, которые идут после этого, отмечает он.
«Публичное объявление причастных к тому или иному факту кибертерроризма может оказать на такое лицо психологическое воздействие. Он понимает, что о нем знают, что его анонимность в сети, мягко говоря, сомнительна. Как будет вести себя в таком случае группировка или ее участник — зависит уже и от него, и от „заказчиков“ такой деятельности», — объясняет он.
Если же хакеры сотрудничают или сами являются кадровыми сотрудниками ФСБ или других силовых структур РФ, то такой шаг «может стать еще одним толчком к международному трибуналу для военных киберпреступников».
Впервые в истории Великобритания вводит санкции против требовавших выкуп преступников. Все семеро принадлежат к группам Conti и Trickbot («основная группировка, от которой со временем образовалась Conti). Активы преступников были заморожены. По данным Минфина США, эти хакеры работали над разработкой вредоносного программного обеспечения и программ-требователей, а также занимали руководящие должности в группировках, занимавшихся мошенничеством и отмыванием денег.
Алекс Холден, основатель компании Hold Security, занимающейся цифровой безопасностью, следил за группировками Conti и Trickbot уже несколько лет. Он уверен, что разоблачение преступников не приведет к их аресту в России, однако теперь они все равно вынуждены будут «убегать и прятаться, даже если их не смогут привлечь к ответственности в нашей правовой системе».
Разоблачение хакеров стало возможным благодаря двум сливам в феврале и марте 2022-го года, после начала полномасштабного вторжения, пишет издание Wired. Члены TrickBot и Conti заявили о поддержке действий РФ и договорились работать против Украины.
Однако украинский исследователь по кибербезопасности (вероятно, он был частью хакерской группировки, однако не разделял радости своих коллег относительно нападения России на Украину), собрал и слил в открытый доступ более 200 тыс. сообщений, которыми обменялись между собой 450 участников группировки, менеджеров, координаторов и партнеров группировки TrickBot за период с июня 2020 года по март 2022 года.
Это явилось катастрофой для группировки. Исходный код их основного оружия был слит; утечка базы данных окончательно добила группировку, в результате чего она развалилась, а большинство хакеров перешли в группировку Conti. Анализ чатов показал, что хакеры часто работали над «правительственными темами» в кооперации с Кремлем, а также обсуждали взлом журналистов Bellingcat.
Кимберли Гуди, старший менеджер по анализу киберпреступности в компании Mandiant в комментариях для Wired пояснил, что детали сливов согласуются с тем, что США и Великобритания связывали некоторых членов группировки этим группировкам с российскими спецслужбами. Однако до этого это были только догадки, а реальных доказательств такого сотрудничества нигде не было.
Очередным доказательством сотрудничества Conti и спецслужб РФ явилось то, что после начала полномасштабного вторжения хакеры начали проводить большое количество кибератак против целей в Украине. Исследователи из IBM Security X-Force назвали это «беспрецедентным сдвигом», поскольку раньше целью группировки Conti никогда не были объекты в Украине — скорее всего, потому, что до 24 февраля в состав группировки входили украинцы. К тому же, большинство вредоносных программ, используемых Conti, были настроены таким образом, чтобы не запускаться в системах, в которых выявлен украинский язык.
Сообщается, что в июне группировка Conti также была расформирована, хотя ее члены продолжили заниматься преступной деятельностью, присоединившись к другим меньшим группам вроде Quantum, Royal и Black Basta.
UPD. 14.02 18:37 — добавили комментарии от главы Госспецсвязи Юрия Щиголя.